Endring av Microsoft-eller Azure-kontopassordet ditt kan ikke sikre Windows-PC-en din fra ekstern tilgang så helt som du forventer. En særegen oppførsel innen Windows’ Remote Desktop Protocol (rdp) inn i maskinen din eksternt.
roten til problemet ligger i hvordan Windows håndterer autentisering for RDP-økter koblet til Microsoft eller Azure-kontoer. Etter å ha bekreftet legitimasjon på nettet første gang, lagrer Windows en kryptografisk sikret kopi lokalt.
Han karakteriserte situasjonen sterkt:”Dette er ikke bare en feil. Det er et tillitsfordeling.”Wade la vekt på den universelle forventningen om at en passordendring umiddelbart ugyldiggjør den gamle legitimasjonen.”Folk stoler på at det å endre passordet vil kutte av uautorisert tilgang… Det er det første noen gjør etter å ha mistenkt kompromiss,”skrev han og la til,”resultatet? Millioner av brukere-hjemme, i små bedrifter eller hybrid arbeidsoppsett-er ubevisst i fare.”
han berørte tilfeller der flere eldre passord kan fungere mens Newer-nea-ne. Wade advarte om at dette skaper en”stille, ekstern bakdør i et hvilket som helst system der passordet noen gang ble hurtigbufret.”
Microsofts offisielle forklaringssentre om brukbarhet under nettverksbrudd. Selskapet uttalte at den lokale hurtigbufringsmekanismen er”en designbeslutning for å sikre at minst en brukerkonto alltid har muligheten til å logge inn uansett hvor lenge et system har vært offline.”Fordi det ser på dette som tiltenkt funksjonalitet, informerte Microsoft Wade om at den ikke oppfyller linjen for et sikkerhetssårbarhet.
Selskapet avslørte også at problemet tidligere hadde blitt rapportert, og sa:”Vi har bestemt at dette er et spørsmål som allerede er rapportert til oss av en annen forsker i august 2023, så denne saken er ikke kvalifisert til en belønning.”Mens en kodeendring opprinnelig ble vurdert, ble den til slutt avvist på grunn av bekymring den “kunne bryte kompatibilitet med funksjonalitet brukt av mange applikasjoner.”
Sikkerhetsfagfolk ser på denne begrunnelsen med bekymring. Will Dormann, en senior sårbarhetsanalytiker ved analysen, sa til ARS Technica,”Det gir ikke mening fra et sikkerhetsperspektiv… Hvis jeg er en sysadmin, ville jeg forvente at i det øyeblikket jeg endrer passordet til en konto, så kan den kontoens gamle legitimasjon ikke brukes hvor som helst. Men dette er ikke tilfelle. En angriper, selv om den er låst ut av online-kontoen etter tilbakestilling av passord, kan beholde vedvarende RDP-tilgang til brukerens Windows-maskin ved hjelp av det gamle, kompromitterte passordet.
Etter Wades rapport oppdaterte Microsoft sitt online dokumentasjon som dekker Windows Logon-scenarios . En ny advarsel ble lagt til:”Når en bruker utfører en lokal pålogging, blir legitimasjonen deres bekreftet lokalt mot en hurtigbufret kopi før den blir autentisert med en identitetsleverandør over nettverket… Hvis brukeren endrer passordet deres i skyen, er Cached Verifier om dette å ikke være med å bruke deres Dormann foreslo at den mest direkte avbøtningen som for øyeblikket “Remote Desktop Connection”-klient, et verktøy integrert i Windows i flere tiår. Det er viktig å ikke forveksle dette innebygde verktøyet med den separate “Remote Desktop App” distribuert via Microsoft Store. Som kunngjort i mars 2025, trekker Microsoft den spesifikke butikkappen 27. mai 2025, og råder brukerne sine som kobler seg til skytjenester som Windows 365 eller Azure Virtual Desktop om å gå over til den nyere”Windows-appen.”Denne APP-pensjonen er atskilt fra og endrer ikke funksjonaliteten eller passordets hurtigbufringsatferd til det tradisjonelle”eksterne skrivebordstilkobling”-verktøyet.
Nvidia og Anthropic har offentlig sammenstøt over oss AI-brikkeeksportbegrensninger rettet mot Kina, og diskutert nasjonal sikkerhet kontra økonomisk konkurranse. Post Nvidia, Anthropic Clash
Tilbakestilling av passord hjelper til med å gjenopprette en brukerkonto når du har glemt passordet. Slik oppretter du en tilbakestilling av passord i Windows 11.
Sam Altmans WorldCoin-prosjekt har lansert sine iris-skanningskuler og WLD Crypto-token over det meste av USA, og samarbeider med Visa for et debetkort. Innlegget Sam Altmans Worldc